Wie klikt er eerder op een link in een phishing mail: iemand van 18 jaar of iemand van 50 jaar? Wat denk je? Uit een groot onderzoek van Mimecast met 1000 Nederlandse afnemers blijkt dat de meest kwetsbare groep voor phishing niet de 50-plussers zijn, maar juiste de “jonge” 18 tot 34-jarige (Managersonline.nl, 2022).
De persoon van 18 tot 34 jaar is opgegroeid in een tijd waar internet niet meer weg te denken is, maar de persoon van 50 heeft de opkomst van het internet bewust meegemaakt en is vaak bewuster van de gevaren en dus ook voorzichtiger.
Phishing is misschien wel de bekendste vorm van cybercrime, maar er zijn nog veel meer online oplichting praktijken zoals vishing en smishing. In deze blog behandelen we er een paar met voorbeelden en uiteraard ook wat je er tegen kunt doen.
BSN-nummers, pincodes, wachtwoorden en bankgegevens. Cybercriminelen willen ze maar al te graag hebben en dat lukt ze vaak ook. Uit een onderzoek van Universiteit van Twente naar fraudevictimisatie blijkt dat in 2020 1 op de 6 Nederlanders slachtoffer werd van fraude, 87,8% van deze gevallen was online. Laat het even tot je doordringen: dat zijn meer dan 2 miljoen mensen (Prof. dr. Junger, prof. dr. Veldkamp, & Koning, 2022).
Maar het ook weer niet zo gek als je bekijkt wat cybercriminelen er allemaal voor doen. De schaal waarop de mails worden verstuurd is enorm, dagelijks worden er ruim 150 miljoen phishing mails gestuurd (Phised, 2022). Verder versturen ze de mails vaak uit naam van betrouwbare partijen, zoals banken en overheidsinstanties, maar ook gebruiken ze afzenders waarvan je vaker mails ontvangt, zoals pakketdiensten (Track & Trace) of klantenservices. En dan heb je het alleen nog maar over oplichting via e-mail.
Smishing, oftewel SMS phishing, is een voor cybercriminelen effectieve manier om mensen en/of bedrijven op te lichten.
Naast e-mail zijn er natuurlijk nog tal van andere manieren om opgelicht te worden, bijvoorbeeld vishing (Voice phishing) en smishing (SMS phishing). Deze vormen van cybercriminaliteit hebben het element van urgentie en zijn daardoor vaak zeer effectief (uit ogen van de cybercriminelen bekeken). Wanneer iemand je een sms’je stuurt reageer je over het algemeen sneller dan bij een e-mail. Ook sporen ze dit aan door woorden als “Belangrijk” of “Reageer direct!” toe te voegen.
Bij vishing word je via de telefoon benaderd, een zogenaamde medewerker van bijvoorbeeld de belastingdienst of bank benadert je voor persoonlijke informatie of achterstallige betalingen. Tegenwoordig kunnen oplichters zelfs de nummerherkenning gemakkelijk omzeilen en zich voordoen als officieel of lokaal nummer. Hang bij deze gesprekken altijd op en geef nooit gevoelige informatie door. En goed om te weten: bankmedewerkers vragen nooit naar je pincode.
Wat hebben Moby Dick en CEO’s gemeen? Ze zijn allebei het doelwit van whaling, alhoewel de zeelieden niet zo discreet te werk gingen als cybercriminelen hebben ze wel een specifiek doelwit. Whalers gebruiken een vorm van cybercrime wat spear phishing wordt genoemd. Zij doen eerst grondig onderzoek en doen zich dan voor als een collega of klant en proberen zo via allerlei trucs boven in de organisatie binnen te komen. Op deze manier willen ze gevoelige informatie stelen of malware installeren. Deze vorm van cybercriminaliteit komt minder voor, omdat het de cybercrimineel veel werk kost. Maar deze vorm is wel super specifiek, zeer effectief en daardoor moeilijk te voorkomen. Naar schatting is spear phishing 10 keer zo effectief als phishing (Zandstra, 2020). Spear phishing kan overigens gericht zijn op iedereen binnen een organisatie, whaling richt zich enkel C-level.
Oh ja, en fishing? Dat is gewoon het Engelse woord voor vissen. Je weet wel met een hengel.
Fishing, stukken minder schadelijk dan phishing.
Er zijn dus tal van manieren waarop cybercriminelen je IT-systemen kunnen binnenkomen. Maar hoe wapen je je hier nu tegen? Wij raden mkb-ondernemers het security framework van CIS aan om hun cyber security aantoonbaar op orde te krijgen. Door middel van het CIS security framework kun je je beveiligingsrisico’s op een objectieve en systematische manier in kaart brengen, maar ook wordt duidelijk welke maatregelen je moet nemen om die risico’s te verlagen.
Het CIS security framework geeft aan wát je moet doen, maar niet hóé je het moet doen. Daarom hebben wij een praktisch vijfstappenplan ontwikkeld. Ontdek het hier.